Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida illustra i passaggi di configurazione per un progetto sandbox che consente di valutare GitHub Advanced Security (GHAS) e Microsoft Defender per il cloud end-to-end di integrazione con un caso d'uso semplice.
Questa integrazione consente di ottimizzare la sicurezza delle applicazioni native del cloud di Microsoft correlando i rischi di runtime e il contesto con il codice originato per una correzione più rapida basata sull'intelligenza artificiale.
Seguendo questa guida, è possibile:
- Configura il tuo repository GitHub per la copertura di Defender per il cloud.
- Creare un fattore di rischio di esecuzione.
- Collegare il codice alle risorse di runtime.
- Testare casi d'uso reali in Defender per il cloud.
Prerequisites
| Aspetto | Dettagli |
|---|---|
| Requisiti ambientali | - Account GitHub con un connettore creato in Defender per il cloud - Licenza GHAS - Defender Cloud Security Posture Management (DCSPM) abilitato nella sottoscrizione - Microsoft Security Copilot (facoltativo per la correzione automatica) |
| Ruoli e autorizzazioni | - Autorizzazioni di amministratore della sicurezza - Amministratore della sicurezza nella sottoscrizione Azure (per visualizzare i risultati in Defender per il cloud) - Proprietario dell'organizzazione GitHub |
| Ambienti Cloud | Disponibile solo nei cloud commerciali (non in Azure per enti pubblici, Azure gestito da 21Vianet o da altri cloud sovrani). |
Prepara il tuo ambiente
Passaggio 1: Configurare il repository GitHub ed eseguire il flusso di lavoro
Per testare l'integrazione, usare l'esempio sandbox GitHub repository che contiene già tutto il contenuto per creare un'immagine contenitore vulnerabile.
Prima di configurare un repository, assicurarsi che:
- Definire un connettore per l'organizzazione GitHub che si prevede di usare nel portale di Defender per il cloud. Seguire i passaggi descritti in Connettere l'ambiente GitHub a Microsoft Defender per il cloud.
- Configurare l'analisi del codice senza agente per il connettore GitHub. Seguire la procedura descritta in Configurare l'analisi del codice senza agente (anteprima).
- Usare un repository privato per l'integrazione.
- Clona il seguente repository nell'organizzazione su GitHub:
- https://github.com/build25-woodgrove/mdc-customer-playbook Questo repository ha abilitato GHAS ed è integrato in un tenant di Azure con Defender CSPM abilitato.
Nel repository seguire questa procedura:
- Andare a Impostazioni.
- Nel riquadro sinistro selezionare Segreti e variabili > Azioni. Selezionare quindi Nuovo segreto del repository.
- Aggiungere i segreti seguenti a livello di repository o organizzazione:
| Variabile | Descrizione |
|---|---|
| ACR_ENDPOINT | Server di autenticazione del registro contenitori. |
| ACR_USERNAME | Nome utente per il registro contenitori. |
| ACR_PASSWORD | Password del registro contenitori. |
Annotazioni
È possibile scegliere qualsiasi nome per queste variabili. Non è necessario seguire un modello specifico.
È possibile trovare queste informazioni nel portale di Azure seguendo questa procedura:
- Selezionare il registro contenitori in cui si vuole eseguire la distribuzione.
- In Impostazioni selezionare Chiavi di accesso.
- Il riquadro Chiavi di accesso mostra le chiavi per il server di autenticazione, il nome utente e la password.
Nel repository selezionare Azioni, selezionare il flusso di lavoro Crea e esegui push su ACR e quindi selezionare Esegui flusso di lavoro.
Verificare che l'immagine sia stata distribuita al registro dei contenitori. Per il repository di esempio, l'immagine deve trovarsi in un registro denominato mdc-mock-0001 con il tag mdc-ghas-integration.
Distribuire la stessa immagine come contenitore in esecuzione nel cluster. Un modo per completare questo passaggio consiste nel connettersi al cluster e usare il kubectl run comando . Ecco un esempio per il servizio Azure Kubernetes:
Impostare la sottoscrizione del cluster:
az account set --subscription $subscriptionID
Impostare le credenziali per il cluster:
az aks get-credentials --resource-group $resourceGroupName --name $kubernetesClusterName --overwrite-existing
Distribuire l'immagine:
kubectl run $containerName --image=$registryName.azurecr.io/mdc-mock-0001:mdc-ghas-integration
Passaggio 2: Creare il fattore di rischio di esempio (regola business critical)
Uno dei fattori di rischio rilevati da Defender per il cloud per questa integrazione è la criticità aziendale. Le organizzazioni possono creare regole per etichettare le risorse come business critical.
- Nel portale di Defender per il cloud passare a Impostazioni> ambienteCriticità risorse.
- Nel riquadro destro selezionare il collegamento per aprire Microsoft Defender.
- Selezionare Crea una nuova classificazione.
- Immettere un nome e una descrizione.
- Nel generatore di query selezionare Risorsa cloud. Scrivere una query per impostare Nome risorsa uguale al nome del contenitore distribuito nel cluster per la convalida. Quindi seleziona Avanti.
- Nella pagina Preview Assets, se Microsoft Defender ha già rilevato la tua risorsa, il nome del contenitore appare con un tipo di asset K8s-container o K8s-pod. Anche se il nome non è ancora visibile, continuare con il passaggio successivo.
- Scegliere un livello di criticità e quindi esaminare e inviare la regola di classificazione.
Annotazioni
Microsoft Defender applica l'etichetta di criticità al contenitore dopo aver rilevato il contenitore. Questo processo può richiedere fino a 24 ore.
Passaggio 3: Verificare che l'ambiente sia pronto
La convalida conferma che l'ambiente è configurato correttamente per visualizzare il codice in base alle raccomandazioni di runtime e generare risultati interattivi.
Durante questo passaggio, Defender verifica la visibilità del codice completo in fase di esecuzione.
- Microsoft Defender per il cloud monitora continuamente i repository di codice sorgente per individuare le vulnerabilità di sicurezza.
- Gli artefatti di compilazione, ad esempio le immagini dei contenitori, vengono analizzati nei registri contenitori prima della distribuzione.
- I carichi di lavoro di runtime distribuiti nei cluster Kubernetes vengono monitorati per individuare i rischi per la sicurezza.
- Defender per il cloud correla e traccia ogni artefatto dal codice, tramite compilazione e distribuzione, al runtime e indietro.
Annotazioni
Possono essere necessarie fino a 24 ore dopo l'applicazione dei passaggi precedenti per visualizzare i risultati seguenti.
Controllare che la scansione senza agente di GitHub rilevi il repository.
Passare a Cloud Security Explorer ed eseguire la query. Le query di convalida testano se Defender può identificare gli artefatti prodotti dalle pipeline e dai carichi di lavoro. Se le query restituiscono risultati, indica che l'analisi e la correlazione funzionano come previsto.
Annotazioni
Se non vengono restituiti risultati, potrebbe indicare che gli artefatti non sono ancora generati, l'analisi non è configurata o le autorizzazioni non sono presenti.
- Verificare che Defender per il cloud (nel Registro dei container di Azure) abbia analizzato l'immagine del container e l'abbia usata per creare un container.
- Nella query aggiungere le condizioni per la distribuzione specifica.
- Verificare che il contenitore sia in esecuzione e che Defender per il cloud abbia analizzato il cluster AKS.
- Verificare che i fattori di rischio siano configurati correttamente sul lato Defender per il cloud. Cerca il tuo nome del contenitore nella pagina di inventario di Defender per il cloud, e dovrebbe essere contrassegnato come critico.
Annotazioni
Questo passaggio è obbligatorio solo se i fattori di rischio non sono già configurati nell'ambiente.
La convalida corretta garantisce che i passaggi successivi, ad esempio raccomandazioni, campagne e GitHub generazione di problemi, producano risultati significativi.